Sicherheitslücken: Anwalts­post­fach bleibt off­line, Zer­ti­fikat muss dein­stal­liert werden

27.12.2017

Das elektronische Anwaltspostfach bleibt vorerst offline. Die BRAK rät zudem, das Zertifikat, dessen Installation sie am Freitag für den Betrieb für nötig erklärt hatte, wegen möglicher Sicherheitsrisiken wieder zu deinstallieren. 

Die für das besondere elektronische Anwaltspostfach verantwortliche Bundesrechtsanwaltskammer (BRAK) wird die Plattform beA vorerst weiter offline lassen. *Der Anmeldeprozess wird überarbeitet. Das teilte man in Berlin am Mittwochmorgen mit. Wer seit Freitag das zusätzliche Zertifikat installiert habe, das die BRAK für den Betrieb von beA für notwendig erklärt hatte, dem "rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen". Eine Anleitung zur Deinstallation will die BRAK in Kürze veröffentlichen. 

Am Freitag hatte die BRAK per Sondernewsletter gemeldet, dass alle beA-Nutzer ein neues Zertifikat installieren müssten. Die BRAK sei am 21. Dezember 2017 darüber informiert worden, dass das bisher eingesetzte Zertifikat ab dem 22. Dezember nicht mehr gültig ist.  

BRAK: "Erst wieder online, wenn sicherer Zugang gewährleistet"

Mit der Installation des neuen Zertifikats allerdings wurde es noch schlimmer. Noch am Freitag nahm die BRAK das beA-System "wegen Wartungsarbeiten" zur Behebung "vereinzelter Verbindungsprobleme" über die Weihnachtstage vom Netz. Dabei bleibt es vorerst. Sie werde die beA-Plattform erst wieder bereitstellen, wenn der Dienstleister Atos die Störungen vollständig behoben und einen sicheren Zugang gewährleistet hat. "Sicherheit und Datenschutz haben Priorität", so die Überschrift der Meldung. 

Laut der BRAK war "die Ende-zu-Ende-Verschlüsselung nicht betroffen. Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert", heißt es auf der Webseite.

"Es ist bedauerlich, dass das beA, eine für die deutsche Anwaltschaft besonders wichtige technische Errungenschaft, derzeit nicht zur Verfügung steht. Die BRAK räumt der Sicherheit des beA und aller Anwältinnen und Anwälte, die das beA einsetzen, absoluten Vorrang ein. Das betrifft insbesondere auch mögliche Hackerangriffe auf die Client-Security", so Dr. Martin Abend, Vizepräsident der BRAK, in einer Erklärung. Daher habe die BRAK auch vom technologischen Dienstleister vorgeschlagene Zwischenlösungen verworfen. 

pl/LTO-Redaktion 

*Satz eingefügt um 12:58 Uhr. 

Zitiervorschlag

Sicherheitslücken: Anwaltspostfach bleibt offline, Zertifikat muss deinstalliert werden . In: Legal Tribune Online, 27.12.2017 , https://www.lto.de/persistent/a_id/26195/ (abgerufen am: 23.04.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 27.12.2017 13:11, Sieglinde Ingwer

    Und wo bleibt die Entschuldigung?

    Die gesamte Struktur diese BEA würde ich gerne mal unabhängig vom Chaos Computers Club überprüfen lassen, auch auf weitere versteckte Hintertüren.

    Auf diesen Kommentar antworten
  • 27.12.2017 13:14, @topic

    Herrlich!

    Auf diesen Kommentar antworten
  • 27.12.2017 13:16, Sieglinde Ingwer

    Laut der BRAK war "die Ende-zu-Ende-Verschlüsselung nicht betroffen. Die Vertraulichkeit der Datenübertragungen war zu jedem Zeitpunkt gesichert", heißt es auf der Webseite.

    Denen glaube ich kein Wort mehr, vor allem zeigt die Sache mit dem nachzuinstallietenden selbstsignierten Zertifikat, welche IT Fachkompetenz bei BRAK vorhanden ist, nämlich gar keine. Und dann wollen die mit weismachen, dass die Sicherheit der Ende zu Ende Verschlüsselung zu keinem Zeitpunkt gefährdet war. Die scheinen alles zu glauben, was der IT Dienstleister ATOS denen erzählt. Das ganze Projekt muss komplett in neue Hände gelegt werden, inbesondere fachlich on der IT versierte. Das laienhafte Vorgehen der BRAK kann ich meinen Mandanten nicht anbieten.

    Auf diesen Kommentar antworten
    • 27.12.2017 14:46, M

      Aus Ihnen spricht die geballte IT-Fachkompetenz.

      Nichts spricht gegen selbstsignierte Zertifikate. Im Gegenteil: So ein Verfahren ist sehr viel sicherer als dies über eine CA (Certificate Authority) als zentrale Anlaufstelle abwickeln zu lassen. Das Problem ist, dass hier IT-Laien (Juristen) über Dinge entscheiden wovon sie nicht im geringsten Ahnung haben. Dem IT-Dienstleister ist es egal. Die wollen nur ein Leuchtturmprojekt haben und königlich daran mitverdienen.

      Wenn man sensiblen Daten über irgendwelche zentralisierten Rechenzentren abwickelt und darüber hinaus die Schlüsselverwaltung in fremde Hände legt, hat man ohnehin die A.-Karte. Blöder kann man gar nicht sein.

      Ich hab ein Ing.-Studium und kann nur dringenst davor warnen sensible Daten, wie Mandanten- und Verfahren-Infos, von irgendwelchen proprietären Drittanbieterlösungen verwalten zu lassen. Das ist Security by Obscurity.

      Es müsste viel mehr auf dezentrale Open Source Lösungen gesetzt werden. Das ist zwar auch kein 100%iger Schutz vor Angriffen, hätte allerdings (mit Bug Bounty Programm) eine deutlich bessere Projektstruktur. Und natürlich lässt sich auch mit OS Geld verdienen,

    • 27.12.2017 17:20, Sieglinde Ingwer

      @M
      Alles klar:
      Selbstsignierte Zertifikate als vertrauenswürdige Stammzertifizierungsstellen sind also ok. Wo sind Sie denn zur Schule gegangen?

    • 27.12.2017 17:48, M

      @Sieglinde Ingwer
      Schauen Sie sich die Ende-zu-Ende Verschlüsselung mit dem Handshake-Prozess mal etwas genauer an. Würde man von vornherein auf Sicherheit by Default setzen, gibt man die Schlüsselverwaltung nicht in fremde Hände. Ist doch ein alter Hut; vgl. TLS/SSL Debakel wie es bis heute bei allen Browsern und Webdiensten der Fall ist. Dabei ließe sich mit DNSSec so vieles optimieren.

    • 03.01.2018 20:53, .

      Ich bin zwar kein IT-Experte, aber mit meinem Halbwissen offenbar schon recht weit vorne. Um also mal mit falschen Vorstellungen aufzuräumen: ein selbstsigniertes Zertifikat ist technisch dasselbe wie ein von irgendeiner Zertifizierungsstelle ausgestelltes Zertifikat. Nur weil eine Zertifizierungsstelle behauptet, vetrauenswürdig zu sein, muss das nicht bedeuten, dass deren Zertifikate tatsächlich vertrauenswürdiger wären. 100 % vertrauenswürdig ist eigentlich nur ein selbstsigniertes Zertifikat, welches man selbst an einem Offline-PC erstellt hat und dessen geheimer Schlüssel niemals fremdem Zugriff ausgesetzt sein könnte. Gefolgt wird dies von einem selbstsignierten Zertifikat, zu welchem eine einem selbst persönlich bekannte vertrauenswürdige (und technisch versierte) Person persönlich den öffentlichen Schlüssel bekannt gibt. Erst danach folgen Zertifikate irgendwelcher Zertifizierungsstellen (die teilweise nicht einmal eine vernünftige Identifizierung der Person oder Organisation vornehmen).

      Das Problem hier war, dass mit der beA-Softwarekomponente ein Root-Zertifikat inklusive geheimen Schlüssel frei verfügbar im Knternet veröffentlich wurde, so dass jede Person mit dem Root-Zertifikat. beliebige andere Zertifikate signieren konnte. Wer also das Root-Zertifikat auf seinem PC eingerichtet hatte, dem hätten beliebige andere Zertifikate als vermeintlich sicher „untergejubelt“ werden können.

  • 27.12.2017 13:21, Sieglinde Ingwer

    Vor allem schmeißt diesen ganzen Java Mist raus und sorgt dafür, daß eingehende Post von Hard- und Softwarefirewalls, einschließlich Antivirenprogrammen überprüft werden kann BEVOR ich meine Festplatte beschreibe!!!!!!!

    Auf diesen Kommentar antworten
    • 27.12.2017 14:58, M

      Antivierenprogramme

    • 27.12.2017 17:21, Sieglinde Ingwer

      Ich pgeif auf Deine Regeln....

    • 30.12.2017 11:41, Niels R.

      Ich dachte du willst Ende-zu-Ende Verschlüsselung? Jetzt auf einmal Traffic Interception durch Firewalls und Virenscanner?

  • 27.12.2017 13:31, Informatiker

    Wie gewinnen solche Firmen eigentlich immer wieder Ausschreibungen für derlei Projekte? Der Preis, und der Praktikant ist dann für die Umsetzung verantwortlich? Die Qualifikation kann ja wohl kaum den Ausschlag geben.

    Auf diesen Kommentar antworten
    • 27.12.2017 14:29, Kowalsky

      Ähm, Sie müssen jetzt ganz stark sein.
      ES GAB KEINE AUSSCHTEIBUNG.

    • 27.12.2017 16:31, Mike

      Wahrscheinlich gab es einen riesigen Präsentkorb und ein paar Scheinchen dazu

    • 28.12.2017 08:31, Georg Niemöller

      Gerüchteweise hat es gar keine Ausschreibung gegeben und die Vertragsbedingungen und gigantischen Kosten mag die Bundesrechtsanwatskammer gegenüber ihren Mitgliedern auch nicht detailliert aufschlüsseln....... Mehr muss man dazu nicht sagen.

  • 27.12.2017 13:33, Florian Ramsperger

    Comedy! Wenn dieser angebliche wie viel gepriesene Fortschritt nicht so peinlich und traurig wäre...
    Mal sehen, ob die Atos AG die Mängel kostenfrei behebt oder ob die BRAK einfach mal wieder die Kammerbeiträge erhöht. Und wer ersetzt der Anwaltschaft die entstandenen wie unnützen Kosten der - vorschnell kommunizierten - Installationsempfehlung vom 22.12. sowie nunmehr der Deinstallation...?

    Auf diesen Kommentar antworten
  • 27.12.2017 13:39, Rainer Breitrück

    Ich würde mal sagen die nächste beA-Sonderurlaub geht auf die Atos GmbH. Ich hoffe doch, dass entsprechende Vertragsstrafenregelungen von der BRAK in den Dienstleistungsvertrag hineinverhandelt wurden.

    Auf diesen Kommentar antworten
    • 27.12.2017 14:47, Realist

      Ist zwar ein etwas anderer Bereich, aber ich fürchte die Verträge sind ähnlich wie die bei der Bundeswehr hinsichtlich der Beschaffung von Waffen, (Luft)Fahrzeugen etc. oder bei anderen Großprojekten wie BER oder ElPhi gestrickt, dass die private Seite (Atos) einen Wunschzettel gemacht hat und BRAK das einfach mal abgezeichnet hat. Bei derart viel Inkompetenz und ohne Ausschreibung sollte es mich nicht mal wundern, wenn die BRAK selbst eine Vertragsstrafe zahlen muss. Sie hat durch ihre kurzfristigen Hinweise schließlich selbst verhindert, dass das Ding nicht planmäßig an den Start geht*Ironie off*.

  • 27.12.2017 14:02, RA

    So, wer erstattet mir die Teilbeträge meiner beA-Karte? Schließlich kann ich die aktuell ja nicht nutzen.

    Auf diesen Kommentar antworten
    • 27.12.2017 14:54, DocMarty

      Genau das war auch meine Frage, die ich versucht habe, heute bei der BRAK zu stellen. Eine zunächst nette Stimme meinte, sie könne nichts weiteres dazu sagen, ich solle mich an die BNotK wenden. Auf meinen Einwand, dass das Problem nicht an der Karte, sondern am beA-Postfach und damit bei der BRAK liege, meinte die Stimme, sie könne nichts weiteres dazu sagen, aber es wurde mir die E-Mail-Adresse zentrale@brak.de genannt. Auf den Hinweis, dass zahlendes Mitglied bin und wenn sie nichts dazu sagen könne, es doch jemand anderen geben müsse, der Auskunft geben könne, wurde aufgelegt.

      Die Art und Weise, wie hier vorgegangen wird, ist inakzeptabel. Wir Anwälte finanzieren das dortige Personal und dann werde ich behandelt, wie beim Mobildienstleister - das geht nicht.

      Die BRAK kassiert Umlagen an eine Dienstleister, der das vereinbarte Ziel nicht hinbekommt, aber wir sollen schön blechen.

      Die BRAK müsste sich mich mal überlegen, wie sie ein Teil des an die Firma bezahlten Geldes wegen deren Fehlleistung zurückerhält, das sie von uns bekommen hat.

      Ansonsten: Gibt es Schadensersatzmöglichkeiten gegenüber der BRAK ?
      Falls ja: Kann sie die wieder per Umlage einfordern? Dann wäre nicht viel geholfen.

      Ich fühle mich jedenfalls nicht von meiner zwangsweisen Kammer nicht gut vertreten, die mich als Bittsteller behandelt, obgleich ich und andere Kollegen/Kolleginnen deren Lebensunterhalt und nette Austauschreisen zu anderen Kollegen/Kolleginnen in fernen Ländern mitfinanzieren muss.

    • 27.12.2017 15:06, M

      Warum schließt nur niemand bei solchen wichtigen Projekten SLA-Verträge ab und bringt eine Malus-Regelung mit ein???

      Ist doch viel zu aufwendig sich jedes Mal aufs neue mit seiner Kammer und den IT-Dienstleister (im Zweifelsfall vor Gericht) rumärgern zu müssen.

    • 27.12.2017 15:42, RA

      Mit wem haben wir denn da genau einen Vertrag geschlossen und worüber?

      Mit der Bundesnotarkammer über die Zugangskarte? Die dürfte ja funktionieren. Mit der eigenen Kammer (Stichwort Sonderumlage)? Oder etwa mit der BRAK über die beA Nutzung?

    • 28.12.2017 16:06, Leon

      Leute, bevor Ihr über die BRAK oder die BNotK flucht, denkt daran, dass dieses ganze Projekt ja nicht von denen initiiert worden ist.

      Tatsächlich wurde die BRAK vom Gesetzgeber schlicht verpflichtet, eine Lösung für das "elektronische Anwaltspostfach" umzusetzen, auch die Kostenabwälzung auf die Anwälte wurde vom Gesetzgeber "verordnet".

      Auch hier gilt also die alte Erkenntnis vom Fisch. Wobei der Kopf keineswegs in der Anwaltschaft zu suchen ist, sondern weiter oben, in der Politik.

      Zufall oder nicht, auch hier war der zuständige Minister der bereits für diverse Pannen und kopfschüttelträchtige Initiativen allseits bekannte Herr Maas.

      Inzwischen steht ja zu befürchten, dass noch nicht einmal eine krachend verlorene Wahl ausreichen wird, um den Mann zu stoppen.

  • 27.12.2017 14:16, Claus Renzelmann

    Zusammenfassung: Wir werden gesetzlich gezwungen, eine weitere Posteinlaufstelle mit weiterem Haftungsrisiko zu eröffnen, müssen dafür bezahlen und Hardware anschaffen, in unsere Software eingreifen und eingreifen lassen, bezahlen unseren Softwareanbietern eine Schnittstelle, marschieren auf Seminare, lassen unser Personal schulen und am Ende funktioniert der ganze Scheiß nicht? Nennt die BRAK das Standesvertretung? Ich nenne das Sabotage!

    Auf diesen Kommentar antworten
    • 27.12.2017 14:33, Kowalsky

      Ja, man könnte herrliche Verschwörungstheorien entwickeln. Aber ich fürchte, die Erklärung ist einfach Dummheit.

    • 27.12.2017 15:10, M

      Kontrahierungszwang.

  • 27.12.2017 15:24, DocMarty

    "Allen Rechtsanwältinnen und Rechtsanwälten, die entsprechend der ursprünglichen Empfehlung vom 22.12.2017 das ersatzweise bereitgestellte Sicherheitszertifikat installierten, rät die BRAK dringend zur Deinstallation, um sich aus dem Zertifikat möglicherweise ergebende Sicherheitsrisiken für die individuelle PC-Umgebung auszuschließen. Eine Anleitung finden Sie in Kürze hier"

    Über die Weihnachtsfeiertage ist nichts passiert und "in Kürze" auch nichts....Sind da Profis am Werk? Ich vermute nicht...

    Auf diesen Kommentar antworten
    • 27.12.2017 15:35, M

      Nicht jede/r IT-Experte verdient wie so mancher Jurist 200 € aufwärts pro Stunde. Was soll also die Frage?

      Die Leute werden Ihnen innerlich einen Vogel zeigen, wenn Sie zu Weihnachten rumtottern und sie annörgeln das Problem UNVERZÜGLICH in x Stunden zu lösen.

      Bedenken Sie, dass über 90% aller IT-Projekte scheitern.

    • 27.12.2017 16:38, Realist

      @M
      Es sind jetzt nicht so viele Rechtsanwälte, die in dieser Größenordnung verdienen. Ich verrate Ihnen mal ein Geheimnis: Der berechnete Stundensatz landet größtenteils nicht beim Bearbeiter, sondern davon alle möglichen Dinge (Kanzleimiete, (sonstiges) Personal etc.) bezahlt! Ein Großteil der Leute in der IT-Branche dürfte mehr als die meisten Anwälte verdienen.

      Die Gehaltsfrage ändert allerdings nichts daran, dass man kaum erwarten kann bzw. es rechtlich kaum möglich ist, dass plötzlich bei normalen Angestellten mal Feiertagsarbeit angeordnet wird, weil irgendjemand Mist gebaut hat.

    • 27.12.2017 16:48, DocMarty

      "Bedenken Sie, dass über 90% aller IT-Projekte scheitern."

      Besser kann man ja die angebliche IT-Inkompetenz nicht verifizieren...und dann noch für diese intolerable "Erfolgsquote" Lob und Geld ?

    • 27.12.2017 16:52, M

      @ Realist

      Ich frage mich nur, warum ausgerechnet Juristen (die ohnehin als sehr konservativ gelten), Ihrer Kammer sowas durchgehen lassen? Irgendwer schrieb, dass es nicht mal eine Ausschreibung gegeben hätte. Falls dem so ist, und Vitamin B im Spiel ist, kann ich sowieso nur den Kopf schütteln.

      War selbst einige Jahre an einer Uni im Technologietransfer tätig. Alle meine Vorgesetzten waren techn. Flachpfeifen und sind ständig mit den gleichen Dienstleistern Verträge eingegangen – die Ausschreibungen waren ein Witz - weil die Angebote nur der Form halber eingeholt wurden. Habe mich zu Letzt mit vielen Leuten angelegt und habe gekündigt.

      Wenn das genauso in der Kammer abläuft, wie ich es kenne, dann wundert mich hier gar nichts. Das Projekt ist jetzt schon zum Scheitern verurteilt. Die lieben Juristen sollten mal langsam in den Kammern aufräumen, klare Spielregeln gesetzlich festlegen. Denn ich kann nicht erkennen, dass sie auch nur irgendeiner Branche wirklich was bringen außer Filz und Dummheit.

    • 27.12.2017 17:03, M

      @ DocMarty
      Für das Scheitern gibt es viele Gründe. Selten liegt es an der Fachkompetenz. Häufigstes Problem im Software Engineering ist schlechtes / gar kein Projektmanagement. Sofern man Informatik oder Ing. Wissenschaften denn überhaupt studiert hat, gibt es allenfalls 1-2 Vorlesungen im gesamten Studium dazu. Und am nervigsten sind dann die Kunden die dauernd Änderungen vorgenommen haben wollen, kein ausgereiftes Pflichtenheft liefern und die IT-Entscheider mit BWL-Studium und großer Klappe, die Angst haben den Kunden zu verprellen. Also im Ergebnis: Ein konkludentes improvisiertes Scheitern, wenn man so will. Hauptsache linke Tasche, rechte Tasche...

  • 27.12.2017 15:44, bergischer löwe

    Die Aussage der BRAK, das "die Ende-zu-Ende-Verschlüsselung nicht betroffen und die Vertraulichkeit der Datenübertragungen zu jedem Zeitpunkt gesichert gewesen sei", ist schlichtweg unwahr, da statt der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilt hatte. Die BRAK lügt.

    Auf diesen Kommentar antworten
    • 27.12.2017 17:04, Claus

      Es geht hier nur um die Verschlüsselung zwischen dem Browser und der sogenannten beA-Client-Security auf dem gleichen Rechner. Eigentlich bräuchte man hierfür gar keine Verschlüsselung, aber dann meckern die handelsüblichen Browser darüber, dass Teile der Seite nicht per HTTPS kommen.

    • 27.12.2017 23:07, bergischer Löwe

      Wenn der private Schlüssel öffentlich ist, bedeutet dies ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt. Die HTTPS-Verbindung bietet keinerlei Schutz. Ein Man-in-the-Middle-Angreifer (MITM-Angriff) hätte durch manipulierte DNS-Antworten Anfragen nach bealocalhost.de auf seinen eigenen Server umleiten und dort eine falsche Version der beA-Software präsentieren können. Der Angreifer hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und sogar manipulieren.
      Die Lügen müssen aufhören !

    • 27.12.2017 23:37, bergischer Löwe

      Die Brak betont: "Da die Ende-zu-Ende-Verschlüsselung von dem aufgetretenen Problem nicht betroffen ist, konnte beA immer die Sicherheit und die Datensicherheit gewährleisten. Kein Schriftstück konnte von Unbefugten gelesen oder kopiert werden." Aufgetreten sei "ein Zugangsproblem, das in letzter Konsequenz die Sicherheit der Client Security des einzelnen Anwalts einschränken könnte"

      Drenger kommentiert das mit: "Das kann man so nicht sagen. Auch wenn vielleicht die Nachrichtenübermittlung selbst nicht betroffen ist, so bietet doch das System ein Einfallstor für andere Angriffe."

      vgl. http://www.spiegel.de/netzwelt/web/34c3-bea-bleibt-offline-die-postfach-pleite-a-1185198.html

      ... und wo leben wir denn, wenn wir nicht wissen, was heutzutage an Angriffen auf sensible daten möglich ist. Danke für ihre Meinung Claus

    • 28.12.2017 23:32, bergischer löwe

      Die BRAK behauptete:
      ".. zeigte eine nicht zur Rechtsanwaltschaft zugelassene Person an, dass sie in der Client-Security, dem Zugangsinstrument, um auf das beA System
      zu gelangen, ein Zertifikat kompromittiert habe."
      In Wahrheit hat die BRAK als Verantworlicher selbst statt des Public Key, den Private Key des von T-Systems signierten Zertifikates verteilt - es also selbst kompromittiert.

      Unterschrieben hat der Vizepräsident Dr. Martin Abend.

      http://newsletter.rakba.de/media/2017/12/2017_12_27-RAK-Pr%C3%A4sidenten-Kanzlei-und-RAKn-wegen-beA.pdf

      Die BRAK verbreitet Lügen.

    • 03.01.2018 21:34, .

      Wie schon ein Vorredner etwa knapper zusammengefasst schrieb: die fraglichen Zertifikate dienten dazu, die Kommunikation zwischen dem Webbrowser und der auf demselben PC installierten Softwarekomponente (welche hierfür einen lokalen Webserver betreibt) mittels https abzusichern. Dies ist eigentlich überflüssig, denn diese Kommunikation verlässt niemals den PC - und wer sonstwie den Zugriff auf den PC hätte, der wird auch nicht mehr ernsthaft von https gestört. Damit aber auf demselben PC eine https-Verbindung erfolgen kann, muss der geheime Schlüssel in die Softwarekomponente integriert sein... und das ist eben das Problem dieser unsinnigen Lösung.

      Mit solchen kompromittierten Zertifikaten ließen sich wohl „man in the middle“-Angriffe verschleiern. Das bedeutet aber nicht, dass deshalb beA-Signatur oder beA-Verschlüsselung „geknackt“ wären.

  • 27.12.2017 16:11, Werner

    So ne Art Berliner Flughafen Disaster II ? Zudem freut sich der Anwalt, wenn er auch noch - unnötig - in der ruhigen Zeit vor Jahreswechsel mit Zertifikaten arbeiten darf.

    Auf diesen Kommentar antworten
  • 27.12.2017 16:46, Florian Ramsperger

    wieso so eilig..?
    Soll das ganze System doch bis zum Sanktnimmerleinstag vor sich hin dösen und offline bleiben..
    Bis dahin greifen wir zu den bewährten Mittel Fax und Post.

    Auf diesen Kommentar antworten
  • 27.12.2017 16:47, Claus

    Da es beim beA keine "Ende-zu-Ende-Verschlüsselung" gibt, kann sie auch nicht betroffen sein.

    Auf diesen Kommentar antworten
    • 27.12.2017 17:25, M

      Schon wieder "in dubio pro reo"?

      Man man man... Werdet doch mal ein bisschen kreativ bei der Schadensbemessung. Ich beneide die Amerikaner für ihre großzügigen SE-Leistungen. Das sind die einzigen die auch die Eier dazu haben den Abschaum aus dem VW-Vorstand in den Knast zu stecken. Hier in der EU kann wohl jede/r machen was er/sie will und kommt nur mit einem "Du Du Du" davon.

      Zunächst mal würde ich die Differenzhypothese auf den Müllhaufen der Rechtstheorien werfen.

    • 27.12.2017 17:37, Sieglinde Ingwer

      Und die Kammern hinterher....

    • 03.01.2018 21:15, .

      Wenn meine Informationen richtig sein,dann sind alle geheimen Schlüssel im Rechenzentrum gespeichert und werden dort in einer Hardwareeinheit zur Entschlüsselung/Verschlüsselung genutzt. Der Absender verschlüsselt, im Rechenzentrum wird entschlüsselt, dann wird im Rechenzentrum erneut verschlüsselt und dann erst die Nachricht weiter zum Empfänger geleitet. Selbstverständlich will der Staat die Möglichkeit haben, auf den Inhalt der Nachrichten zugreifen zu können, und da wäre eben eine „echte“ Ende-zu-Ende-Verschlüsselung störend.

  • 27.12.2017 17:44, Ahnungsloser

    Vorab: ich habe keine Ahnung von der Technik und schäme mich fremd bei dem jungen Mann, der mir das alles einrichtet.
    Aber ich habe ein für mich merkwürdiges Erlebnis zu schildern.
    Ich bestellte eine Karte und bekam zwei Bestätigungen meiner Bestellung. Einmal wurde korrekt meine Bestellung mit den Daten meiner Kanzlei aufgeführt. In der anderen Bestätigung wurde eine Karte genannt, die ich nie bestellt habe, die Daten waren eine Mischung der Daten meiner Kanzlei (Name, Telefon- und Faxnummer) und einer Kanzlei aus Süddeutschland (Anschrift, zum Teil unkenntlich gemachte Kontonummer sowie Kontoinhaber. Die Zertifizierungsstelle habe ich sofort hierauf aufmerksam gemacht. Antwort habe ich keine bekommen.
    Vielleicht ist die Vermischung ein kleiner uninteressanter Lapsus. Vielleicht hat das auch nichts damit zu tun, dass die Daten sicher sind. Mein Vertrauen in dieses System ist trotzdem futsch.

    Auf diesen Kommentar antworten
    • 28.12.2017 09:21, RA

      Da kann ich vielleicht helfen. Da die Safe-ID eines jeden Anwalts öffentlich sichtbar war/ist über das Anwaltsverzeichnis der BRAK kann/konnte man für andere Anwälte Karten bestellen. Man musste bloß die Safe-ID kopieren, schon waren alle anderen Daten hinterlegt. Als "Sicherheit" musste man nun nur noch eine E-Mail-Adresse angeben. Ich habe es nicht ausprobiert, aber ich kann mir nicht vorstellen, dass ein Abgleich mit der Kanzleiadresse erfolgt ist. Manche (ältere) Kollegen haben im Anwaltsverzeichnis ja auch keine E-Mailadresse hinterlegt. Wenn man dann von diesem Kollegen noch die Kontoverbindung hat (beispielsweise von einem Brief) kann man sich ganz ganz leicht eine Karte zukommen lassen. Gut, die wird an die hinterlegte Kanzleianschrift versandt. Aber Post abfangen ist auch kein riesen Akt. Das ist alles sehr, sehr sicher....

  • 27.12.2017 19:05, Schäfer Hans

    Wer schickte mir letzte Woche eine Nachricht übers Bea?
    War sie wichtig?
    Die empfohlene Löschung der Zertifikatsänderung nehme ich nicht vor! Es wird nur noch chaotischer werden.

    Auf diesen Kommentar antworten
    • 03.01.2018 21:44, .

      Ganz ehrlich: es ist richtig dumm, das selbstsignierte Zertifikat mit kompromittierten geheimen Schlüssel installiert zu lassen. Dieses Zertifikat wird niemals mehr gebraucht werden - außer von Hackern, die mal gucken wollen, wie viele Anwälte sie mit „man in the middle“-Angriffen noch erreichen können.

  • 27.12.2017 19:35, Andreas Klomps

    Wo bleibt die schnelle Lösung für Anwälte, die vor Jahresende noch fristwahrend Mahnbescheide elektronisch einreichen müssen, aber schon - wie von der BRAK gewünscht - vom EGVP auf das beA umgestiegen sind?

    Wieder einmal scheint sich zu bestätigen, dass es besser gewesen wäre, diejenigen dran zu lassen, die Ahnung von der Materie haben.

    Klasse Technik für viel Geld!

    Auf diesen Kommentar antworten
    • 27.12.2017 22:39, Sieglinde Ingwer

      Und wieder wird es keine Verantwortlichen geben.

  • 27.12.2017 22:42, Sieglinde Ingwer

    Die Projekte unterscheiden sich ja auch kaum....

    BEA
    BER

    A steht für Anwaltsjammer
    R für ReiseJammer

    Auf diesen Kommentar antworten
  • 28.12.2017 02:19, Nachtschwärmer

    Vielleicht macht sich ja mal eine neue Juristengeneration stark für ein BGB Update?

    Ich könnte mir gut vorstellen, dass in Anbetracht der Relevanz von IT in unserem Alltag Gesetze zum „Stand der Technik“, Industrie 4.0 und Digitalisierung durchaus Sinn machen. Es ist sowieso traurig, dass bspw. das Arbeitsrecht ein Schattendasein meist weit entfernt jeglicher gesetzlicher Norm fristet: Da werden Mitarbeiter ohne Einwilligung überwacht, der Staat führt im öffentlichen Raum Gesichtserkennungsprojekte durch und es ist okay, aber wenn Private mittels Dashcam Vandalismus an ihrm PKW aufklären wollen, ist das verfassungswidrig?

    Würde man mal gesetzlich sowas wie den „Stand der Technik“ normieren und in Einklang mit unseren Erwartungen an Authentizität und Intrigrität bringen, wären wir schon ein ganzes Stück weiter. Siehe die Auslegungsprobleme beim § 265a StGB, den Computer- und Zahlungskartenbetrug. Hier verzweifeln viele schon am techn. Grundlagenwissen.

    IT-Sicherheit gehört m.E. nach ganz oben auf die politische/gesetzgeberische Agenda. Ohne Wenn und Aber.

    Auf diesen Kommentar antworten
  • 28.12.2017 06:39, Frühaufsteher

    Aber den Anwälten jahrzehntelang über "Berufsordnungen" vorschreiben, wie sie sich zu verhalten haben:

    - als Organ der Rechtspflege dürfen wir nicht lügen;
    - IT Outsourcing war strengstens untersagt und Verstöße wurden schwer geahndet;
    - anwaltliche Werbung, etwa auf Tassen: um Gottes Willen, da leidet ja das Ansehen in der Öffentlichkeit, so was verträgt sich nicht mit dem Berufsstand;
    - Nebenbeschäftigungen, einst ganz böse;
    - Referendarinnen, die ihrem früheren Ausbilder mal die Meinung gesagt haben, werden quasi mit einem lebenslangen Berufsverbot belegt;
    ...

    und jetzt, was passiert jetzt, in Anbetracht eigenen Versagens?

    NICHTS

    todschweigen, die Anwaltschaft über die wahren Ausmaße belügen ("einige wenige Verbindungsprobleme") und das Ganze einfach mal aussitzen.

    Wie lange will sich die Anwaltschaft dies eigentlich noch gefallen lassen?

    Auf diesen Kommentar antworten
  • 28.12.2017 14:00, Spaßbremse

    Bei allen Diskussionen, Pressemeldungen usw. vermisse ich eine Information:

    Wie steht es mit der passiven Nutzungspflicht ab dem 01.01.17?
    Wird sie ausgesetzt?

    Auf diesen Kommentar antworten
    • 28.12.2017 17:13, Sylvia Kaufhold

      Die passive Nutzungspflicht ab 1.1.2018 ist mE faktisch ausgesetzt, da wegen der Abschaltung des beA auch die Justiz keine Zusendungen vornehmen kann. Das mindeste, was die BRAK jetzt machen müsste, ist diese Aussetzung auch formal und offiziell klarzustellen!

    • 28.12.2017 17:28, Spaßbremse

      Genau!

      Ich hatte mich gestern an den Ministerpräsidenten
      NRW gewandt mit dieser Frage, erhielt aber noch
      keine Antwort.

  • 28.12.2017 18:08, Sylvia Kaufhold

    Das Ganze ist nicht nur eine peinliche und ärgerliche Posse, sondern symptomatisch für die schlechte Qualität unserer hypertrophen Gesetze. Ganz abgesehen von den grundlegenden IT-Mängeln hätte man zwingend erst das komplette System einrichten und (von Hackern) prüfen lassen müssen und dann erst die (freiwillige) Testphase starten dürfen. Wenn man jetzt die passive Nutzungspflicht auch formal aussetzt (was das Mindeste wäre), darf sie erst nach einer längeren und tatsächlich erfolgreichen Test- und Übergangsphase mit freiwilligen Nutzern wieder in Kraft gesetzt werden - wenn man nicht auf die Nutzungspflicht ganz verzichtet. Guter technischer Fortschritt setzt sich auch ohne gesetzlichen Zwang durch. Ist vielleicht sogar verfassungsrechtlich geboten.

    Auf diesen Kommentar antworten
    • 28.12.2017 18:27, Nachtschwärmer

      Vorab von Hackern testen lassen? Das ist Aufgabe der kommerziellen Softwareschmiede. Jungs und Mädels vom Chaos Computer Club warten noch ein bisschen ab, bis sich ein Justizminister und diverse Selbstdarsteller gegenseitig auf ihre Schultern klopfen, wie toll doch dieses Leuchtturmprojekt gewordn ist UND ERST DANN zerpflücken sie es bis aufs kleinste Detail ;oP Wo bleibt denn auch sonst der Spaß?

      Wenn man schon i.d.R. für das ehrliche Melden von Bugs kein Geld oder Anerkennung bekommt, dann ist die Denunziation die nächst beste Lösung ;)

      Seitdem der Gesetzgeber die Hacker und Technikbegeisterte immer mehr kiminalisiert, gehen uns auch nach und nach die Fachleute in der IT-Security aus. Oder glaubt hier ernsthaft jemand, dass wenn so ein junger Bursche künftig noch mal die Zivilcourage aufbringt einen Bug zu melden um dann mit einer Sondereinheit in den Knast geschleppt zu werden?

      https://blog.fefe.de/?ts=a78b14c1

      Die gesetzlichen Rahmenbedingungen schon müssen stimmen, damit IT-Sicherheit an Bedeutung in der Öffentlichkeit gewinnt. Im Moment scheuen die meisten die Technik doch wie der Teufel das Weihwasser.

  • 28.12.2017 20:55, Andreas L

    ohne Ausschreibung stattgefunden ... und dann in solcher Höhe und nix zustandegebracht ... das hat eine bestimmte Duftnote: kick-backs. Sinnvoll wäre, wenn ein befugtes staatliches Organ direkte und indirekte Zahlungen und andere Kapitalflüsse von Atos an BRAK-Vorstandsmitglieder anschaut. Vergangenheit, Gegenwart, Zukunft, denn die kick-backs sind vielleicht bereits geflossen, fließen gerade, oder werden bald fließen.

    - cui bono?
    - follow the money (aus Gangsterfilmen bekannt)

    Auf diesen Kommentar antworten
  • 28.12.2017 21:08, Knövenagel

    Da passt mal wieder alles zusammen. Dilettantismus pur. Ich habe schon bei der (kostenpflichtigen Zwangs-) Schulung gedacht, ich sei im falschen Film. BeA ist überflüssig, schwer zu installieren und benutzerunfreundlich gestaltet. Und jetzt auch noch unsicher... Das neue Zertifikat hatte ich zum Glück nicht installiert, weil mein IT-ler schon im Urlaub und ich krank war. BeA am Besten "abwracken". Das System der Selbstverwaltung gleich mit, damit habe ich mehrfach (bin RA) schlechte Erfahrungen gesammelt, mehr als plumpe Selbstbeweihräucherung und Arroganz passiert da nicht. Aber das funktioniert mit unseren Zwangsbeiträgen ja prächtig. Ich brauche die RAK und erst recht die BRAK jedenfalls so wenig wie das BeA.

    Auf diesen Kommentar antworten
    • 29.12.2017 11:06, Spaßbremse

      Ich habe jedenfalls bereits mit meiner Vermögenshaftpflichtversicherung telefoniert zwecks Anzeige einer Gefahrerhöhung, die ich vorsorglich auch förmlich an diese richten werde.

  • 09.01.2018 18:35, Horst

    Herrn Markus Drenger und dem CCC gebührt Dank!
    Ich schließe Sie in mein abendliches Gebet ein.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Rechts­an­wäl­tin­nen/Rechts­an­wäl­te für das Tä­tig­keits­ge­biet IP/IT-Li­ti­ga­ti­on

CMS Hasche Sigle, Köln

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

Rechts­an­walt (m/w) im Be­reich Bank- und Ka­pi­tal­markt­recht

Norton Rose Fulbright LLP, Frank­furt/M.

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­wäl­te (m/w) Schwer­punkt In­sol­venz­recht/Li­ti­ga­ti­on

BRL BOEGE ROHDE LUEBBEHUESEN, Ham­burg

The­men­ma­na­ger / The­men­ma­na­ge­rin Bür­ger­rech­te

Friedrich-Naumann-Stiftung für die Freiheit, Ber­lin

Rechts­an­walt (m/w) für den Be­reich Ban­king & Fi­nan­ce

Bird & Bird LLP, Mün­chen und 1 wei­te­re

RECHTS­AN­WALT (m/w) Real Es­ta­te / Im­mo­bi­li­en­wirt­schafts­recht mit Be­ruf­s­er­fah­rung

BRL BOEGE ROHDE LUEBBEHUESEN, Ham­burg

Rechts­an­wäl­te (m/w) Ge­sell­schafts­recht/M&A und Steu­er­recht

ROSE & PARTNER LLP., Mün­chen

AS­SO­CIA­TE (M/W) mit oder oh­ne Be­ruf­s­er­fah­rung für die Be­rei­che PRI­VA­TE EQUI­TY, M&A und COR­PO­RA­TE

McDermott Will & Emery, Mün­chen

Pro­dukt­ma­na­ger No­tar­recht (m/w)

Wolters Kluwer, Hürth und 1 wei­te­re

Le­gal Coun­sel (w/m)

beegy, Mann­heim

Rechts­an­wäl­te w/m Ar­beits­recht

Heuking Kühn Lüer Wojtek, Mün­chen

VOLL­JU­RIST UND BEAM­TER (M/W) IM HÖHE­REN VER­WAL­TUNGS­DI­ENST

Bundeswehr, Köln

Voll­ju­ris­ten (m/w) Li­ti­ga­ti­on

PERCONEX, Frank­furt/M. und 2 wei­te­re

Rechts­an­walt / Rechts­an­wäl­tin

STASSEN LLP, Ber­lin

Rechts­an­walt (w/m) im Be­reich IP / IT / Health­ca­re

Görg, Köln

Rechts­an­walt (m/w) Ge­sell­schafts­recht / M&A

Gleiss Lutz, Düs­sel­dorf

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Öf­f­ent­li­ches Wirt­schafts­recht

Bird & Bird LLP, Düs­sel­dorf

Ju­ris­ten (m/w) im Be­reich Ge­sell­schafts­recht / M&A

Schollmeyer&Steidl, Mün­chen und 2 wei­te­re

De­zer­nen­tin / De­zer­nent für das De­zer­nat Be­sol­dung und Ver­sor­gung

Land Rheinland-Pfalz, Landesamt für Finanzen, Ko­b­lenz

Rechts­an­walt (m/w) IP/IT

Luther Rechtsanwaltsgesellschaft mbH, Ber­lin

RECHTS­AN­WÄL­TE (M/W)

K&L Gates, Ber­lin

Un­ter­neh­mens­ju­ris­ten (m/w)

WERTGARANTIE Group, Han­no­ver

Rechts­an­wäl­tin / Rechts­an­walt

Fiedler Cryns-Moll Jüngel FCMJ, Köln

RECHTS­AN­WALT (m/w) für den Be­reich Da­ten­schutz­recht

BRL BOEGE ROHDE LUEBBEHUESEN, Ham­burg